Sugeng rawuh ing kirim kapindho ing seri Cisco ISE. Ing kawitan kaluwihan lan beda saka Network Access Control (NAC) solusi saka AAA standar, uniqueness saka Cisco ISE, arsitektur lan proses instalasi produk padha disorot.
Ing artikel iki, kita bakal nliti nggawe akun, nambah server LDAP, lan nggabungake karo Microsoft Active Directory, uga nuansa nggarap PassiveID. Sadurunge maca, aku banget nyaranake sampeyan maca .
1. Sawetara terminologi
Identitas Panganggo - akun pangguna sing ngemot informasi babagan pangguna lan nggawe kredensial kanggo ngakses jaringan. Parameter ing ngisor iki biasane ditemtokake ing Identitas Panganggo: jeneng pangguna, alamat email, sandhi, katrangan akun, grup pangguna, lan peran.
Anggota Grup - grup panganggo sing kumpulan pangguna individu sing duwe pesawat umum saka hak istimewa sing ngidini kanggo ngakses pesawat tartamtu saka layanan lan fungsi Cisco ISE.
Grup Identitas Panganggo - klompok pangguna sing wis ditemtokake sing wis duwe informasi lan peran tartamtu. Ing ngisor iki User Identity Groups ana minangka standar, sampeyan bisa nambah pangguna lan grup pangguna kanggo wong-wong mau: Employee (karyawan), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (akun sponsor kanggo ngatur portal tamu), Tamu (tamu), ActivatedGuest (tamu aktif).
peran pangguna- Peran pangguna minangka sakumpulan ijin sing nemtokake tugas apa sing bisa ditindakake pangguna lan layanan apa sing bisa diakses pangguna. Asring peran pangguna digandhengake karo klompok pangguna.
Kajaba iku, saben pangguna lan grup pangguna duwe atribut tambahan sing ngidini sampeyan milih lan luwih spesifik nemtokake pangguna iki (grup pangguna). Informasi liyane ing .
2. Nggawe pangguna lokal
1) Ing Cisco ISE bisa nggawe pangguna lokal lan digunakake ing kawicaksanan akses utawa malah menehi wong peran administrasi produk. Pilih Administrasi → Manajemen Identitas → Identitas → Pangguna → Tambah.
Figure 1 Nambahake Pangguna Lokal kanggo Cisco ISE
2) Ing jendhela sing katon, nggawe pangguna lokal, nyetel sandhi lan paramèter liyane sing bisa dingerteni.
Gambar 2. Nggawe Pangguna Lokal ing Cisco ISE
3) Pangguna uga bisa diimpor. Ing tab sing padha Administrasi → Manajemen Identitas → Identitas → Pangguna pilih opsi Impor lan upload file csv utawa txt karo pangguna. Kanggo entuk cithakan, pilih Nggawe Cithakan, banjur kudu diisi informasi babagan pangguna ing wangun sing cocog.
Figure 3. Ngimpor Pangguna menyang Cisco ISE
3. Nambahake server LDAP
Ayo kula ngelingake sampeyan yen LDAP minangka protokol tingkat aplikasi populer sing ngidini sampeyan nampa informasi, nindakake otentikasi, nggoleki akun ing direktori server LDAP, bisa digunakake ing port 389 utawa 636 (SS). Conto penting saka server LDAP yaiku Active Directory, Sun Directory, Novell eDirectory, lan OpenLDAP. Saben entri ing direktori LDAP ditetepake kanthi DN (Jeneng Distinguished) lan tugas njupuk akun, grup pangguna lan atribut diunggahake kanggo mbentuk kabijakan akses.
Ing Cisco ISE iku bisa kanggo ngatur akses kanggo akeh server LDAP, mangkono mujudaken redundansi. Yen server LDAP utama ora kasedhiya, ISE bakal nyoba ngubungi server sekunder, lan sateruse. Kajaba iku, yen ana 2 PAN, banjur siji LDAP bisa diprioritasake kanggo PAN primer, lan LDAP liyane bisa diprioritasake kanggo PAN sekunder.
ISE ndhukung 2 jinis lookup (lookup) nalika nggarap server LDAP: User Lookup lan MAC Address Lookup. Lookup Panganggo ngidini sampeyan nggoleki pangguna ing basis data LDAP lan njupuk informasi ing ngisor iki tanpa otentikasi: pangguna lan atribute, grup pangguna. MAC Address Lookup uga ngidini sampeyan nggoleki alamat MAC ing direktori LDAP tanpa otentikasi lan entuk informasi babagan piranti, klompok piranti miturut alamat MAC lan atribut khusus liyane.
Minangka conto integrasi, ayo nambah Active Directory kanggo Cisco ISE minangka server LDAP.
1) Pindhah menyang tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → LDAP → Tambah.
Gambar 4. Nambahake server LDAP
2) Ing panel Umum nemtokake jeneng lan skema server LDAP (ing kasus kita, Active Directory).
Gambar 5. Nambahake server LDAP kanthi skema Active Directory
3) Sabanjure pindhah menyang sambungan tab banjur pilih Jeneng host / alamat IP Server AD, port (389 - LDAP, 636 - SSL LDAP), kredensial administrator domain (Admin DN - DN lengkap), paramèter liyane bisa ditinggalake minangka standar.
komentar: gunakake rincian domain admin kanggo nyegah masalah potensial.
Gambar 6 Ngetik Data Server LDAP
4) Ing tab Direktori Organisasi sampeyan kudu nemtokake area direktori liwat DN saka ngendi kanggo narik pangguna lan grup pangguna.
Gambar 7. Penentuan direktori saka ngendi grup pangguna bisa narik munggah
5) Pindhah menyang jendhela Grup → Tambah → Pilih Grup Saka Direktori kanggo milih grup tarik saka server LDAP.
Gambar 8. Nambahake grup saka server LDAP
6) Ing jendhela sing katon, klik Njupuk Groups. Yen kelompok wis ditarik munggah, banjur langkah awal wis rampung kasil. Yen ora, coba administrator liyane lan priksa kasedhiyan ISE karo server LDAP liwat protokol LDAP.
Gambar 9. Dhaptar grup pangguna sing ditarik
7) Ing tab kawicaksanan sampeyan opsional bisa nemtokake atribut saka server LDAP kudu ditarik munggah, lan ing jendhela Setelan Lanjut ngaktifake pilihan Aktifake pangowahan sandhi, sing bakal meksa pangguna ngganti tembung sandhi yen wis kadaluwarsa utawa wis direset. Oalah klik Kirim kanggo nerusake.
8) Server LDAP katon ing tab sing cocog lan bisa digunakake kanggo mbentuk kabijakan akses ing mangsa ngarep.
Gambar 10. Daftar server LDAP sing ditambahake
4. Integrasi karo Active Directory
1) Kanthi nambahake server Microsoft Active Directory minangka server LDAP, kita entuk pangguna, grup pangguna, nanging ora ana log. Sabanjure, aku suggest nyetel integrasi AD lengkap karo Cisco ISE. Pindhah menyang tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → Tambah.
Wigati: Kanggo integrasi sing sukses karo AD, ISE kudu ana ing domain lan duwe konektivitas lengkap karo server DNS, NTP lan AD, yen ora, ora ana sing bisa digunakake.
Gambar 11. Nambahake server Active Directory
2) Ing jendhela sing katon, ketik rincian administrator domain lan centhang kothak Kredensial Toko. Kajaba iku, sampeyan bisa nemtokake OU (Unit Organisasi) yen ISE dumunung ing OU tartamtu. Sabanjure, sampeyan kudu milih simpul Cisco ISE sing pengin disambungake menyang domain kasebut.
Gambar 12. Ngetik kredensial
3) Sadurunge nambahake pengontrol domain, priksa manawa ing PSN ing tab Administrasi → Sistem → Penyebaran opsi diaktifake Layanan Identitas Pasif. ID pasif - pilihan sing ngidini sampeyan nerjemahake pangguna menyang IP lan kosok balene. PassiveID entuk informasi saka AD liwat WMI, agen AD khusus utawa port SPAN ing switch (dudu pilihan sing paling apik).
Wigati: kanggo mriksa status ID Pasif, ketik ing console ISE nuduhake status aplikasi | kalebu PassiveID.
Gambar 13. Ngaktifake pilihan PassiveID
4) Pindhah menyang tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → PassiveID lan pilih pilihan Tambah DCs. Sabanjure, pilih pengontrol domain sing dibutuhake kanthi kothak centhang lan klik OK.
Gambar 14. Nambahake pengontrol domain
5) Pilih DC sing ditambahake lan klik tombol Sunting. Tulung wenehi tandha FQDN DC, login domain lan sandhi, lan pilihan link WMI utawa Agent. Pilih WMI lan klik OK.
Gambar 15 Ngetik rincian kontroler domain
6) Yen WMI dudu cara sing disenengi kanggo komunikasi karo Active Directory, mula agen ISE bisa digunakake. Cara agen yaiku sampeyan bisa nginstal agen khusus ing server sing bakal ngetokake acara login. Ana 2 opsi instalasi: otomatis lan manual. Kanggo nginstal agen kanthi otomatis ing tab sing padha ID pasif pilih Tambah Agen → Pasang Agen Anyar (DC kudu duwe akses Internet). Banjur isi kolom sing dibutuhake (jeneng agen, FQDN server, login/sandi administrator domain) banjur klik OK.
Gambar 16. Instalasi otomatis saka agen ISE
7) Kanggo nginstal agen Cisco ISE kanthi manual, pilih item Ndhaptar Agen sing ana. Miturut cara, sampeyan bisa ngundhuh agen ing tab Pusat Kerja → PassiveID → Panyedhiya → Agen → Unduh Agen.
Gambar 17. Ngundhuh agen ISE
Penting: PassiveID ora maca acara log metu! Parameter sing tanggung jawab kanggo wektu entek diarani wektu tuwa sesi pangguna lan padha karo 24 jam minangka standar. Mulane, sampeyan kudu logoff dhewe ing mburi dina apa, utawa nulis sawetara jinis script sing bakal otomatis logoff kabeh pangguna mlebu.
Kanggo informasi log metu "Probe endpoint" digunakake - probe terminal. Ana sawetara probe endpoint ing Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. radius probe nggunakake CoA (Ganti wewenang) paket menehi informasi babagan ngganti hak panganggo (iki mbutuhake ditempelake 802.1X), lan dikonfigurasi ing switch akses SNMP, bakal menehi informasi babagan piranti sing disambungake lan pedhot.
Conto ing ngisor iki cocog kanggo konfigurasi Cisco ISE + AD tanpa 802.1X lan RADIUS: pangguna mlebu ing mesin Windows, tanpa logoff, mlebu saka PC liyane liwat WiFi. Ing kasus iki, sesi ing PC pisanan isih bakal aktif nganti wektu entek utawa ana logoff dipeksa. Banjur yen piranti kasebut duwe hak sing beda, mula piranti sing mlebu pungkasan bakal ngetrapake hak kasebut.
8) Opsional ing tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → Grup → Tambah → Pilih Grup Saka Direktori sampeyan bisa milih grup saka AD sing pengin ditarik munggah ing ISE (ing kasus kita, iki wis rampung ing langkah 3 "Nambah server LDAP"). Pilih opsi Njupuk Grup → OK.
Gambar 18 a). Narik grup pangguna saka Active Directory
9) Ing tab Pusat Kerja → PassiveID → Ringkesan → Dashboard sampeyan bisa mirsani jumlah sesi aktif, jumlah sumber data, agen, lan liya-liyane.
Gambar 19. Ngawasi aktivitas pangguna domain
10) Ing tab Sesi Urip sesi saiki ditampilake. Integrasi karo AD dikonfigurasi.
Gambar 20. Sesi aktif pangguna domain
5. Kesimpulan
Artikel iki nyakup topik nggawe pangguna lokal ing Cisco ISE, nambah server LDAP lan nggabungake karo Microsoft Active Directory. Artikel sabanjure bakal nyorot akses tamu ing wangun pandhuan sing berlebihan.
Yen sampeyan duwe pitakon babagan topik iki utawa butuh bantuan kanggo nyoba produk, hubungi .
Tetep dirungokake kanggo nganyari ing saluran kita (, , , , ).
Source: www.habr.com